Ciao a tutti,
volevo chiedervi a che pro serva usare queste due funzioni php insieme.
In giro per la rete ho trovato alcuni esempi dove venivano usati entrambi per usare delle variabili inserite dall'utente dentro il db.
Non so comunque a che pro, anche perchè ad esempio mettendo l'opzione ENT_QUOTES in htmlspecialchars viene fatto l'escape anche agli apici singoli e doppi...
Grazie ciao
Ciao,
mysql_real_escape_string esegue l'escape degli apici sia singoli che doppi,
htmlspecialchars converte i caratteri :
'&' (e commerciale)
'"' (doppio apice)
''' (singolo apice)
'<' (minore)
'>' (maggiore)
in entità Html.
Alla luce di quanto detto, per inserire i dati in una tabella di un database, non occorre la conversione dei caratteri in entità, ma basta l'escape.
L'escape è necessaria (ma non sufficiente), per motivi di sicurezza e per essere sicuri che gli apici non creino problemi (tipo chiusura in anticipo dell'SQL).
La conversione dei caratterti in entità va fatta nel momento in cui si vogliono stampare i dati nella pagina html.
CODENCODE \ Branding \ Design \ Marketing
www.codencode.it
Ti ringrazio per la spiegazione.
A questo punto ti vorrei chiedere:
quali altri accortezze bisogna usare per la sicurezza?
Espressioni regolari?
Grazie ciao
Al seguente link c'è la guida sulla sicurezza del php, è interessante:
http://php.html.it/guide/leggi/121/g...urezza-di-php/
CODENCODE \ Branding \ Design \ Marketing
www.codencode.it
Permessi di invio
Rispondi quotando